Digital finans og IT-risiko

Utviklingstrekk

I internasjonale samanlikningar er Noreg blant dei mest digitaliserte landa i Europa og skårar særleg høgt når det gjeld bruk av digitale finansielle tenester. Innovasjonstakta innanfor finansielle tenester er høg. Meir bruk av opne grensesnitt (API) og kunstig intelligens har mogleggjort nye produkt og forretningsmodellar. Samtidig har ny regulering lagt til rette for nye tenester og auka konkurranse. Stadig fleire føretak brukar skytenester, som kan bidra til effektivisering, kostnadsreduksjonar og auka sikkerheit. Flytting av kjernesystem til skybaserte løysingar vil kunne vere omfattande og krevjande, og føretaka sine beslutningar om dette må bygge på forsvarlege risikovurderingar.

Finanstilsynet observerer eit trusselbilde i stadig endring, mellom anna som følge av krigen i Ukraina. Trusselen frå aktørar som leitar etter sikkerheitshol i programvare med stor utbreiing, ser ut til å auke. Slike sikkerhetshol innebér risiko for mellom anna informasjonslekkasje eller uautoriserte endringar i føretaka sine eller leverandørane deira sine system og infrastruktur. Dataangrep rammar ofte føretak globalt og på tvers av sektorar. Også digital kriminalitet der målet er økonomisk vinning, aukar.

Det var i 2022 eit stort omfang av phishing/smishing der formålet var å lure personar til å gi frå seg betalings- eller påloggingsinformasjon. Løysepengeangrep er også ein trussel. Slike angrep kan innebære at føretaket sine system blir gjort utilgjengelege i påvente av utbetaling av eit angitt beløp.

Eventuelle angrep som rammar finansiell infrastruktur, kan få alvorlege konsekvensar. Dei tette samankoplingane i det finansielle systemet innebér at ei alvorleg hending hos éin aktør raskt kan føre til omfattande stans i kritiske tenester og dermed få alvorlege samfunnsmessige konsekvensar.

Arbeidet med digital robustheit, beredskap og kriseplanar blir stadig viktigare. Føretak og myndigheiter iverkset tiltak for å redusere risikoen for alvorlege hendingar og avgrense skader dersom ei hending inntreffer. I tillegg arbeider dei generelt for å forbetre beredskap og kriseløysingar.

Tilsyn og analysar

Tilsyn

Gjennom stadleg tilsyn kan Finanstilsynet avdekke brot på lover og forskrifter og identifisere sårbarheiter som utgjer ein risiko for alvorlege hendingar i finanssektoren. Tilsyna i 2022 la vekt på område som er viktige for styringa av føretaka sin IT-risiko, mellom anna utkontraktering, beredskap, IT-infrastruktur og sikkerheit. IT-risiko blir ofte dekka i eigne IT-tilsyn, men kan også inngå som del av eit breiare tilsyn i eit føretak. Tilsyna som blei gjennomførte i 2022 er nærmare omtala i rapportane for dei ulike tilsynsområda.

Risiko- og sårbarheitsanalysen

Finanstilsynet utarbeider kvart år ein risiko- og sårbarheitsanalyse av finanssektoren sin bruk av IT. Risiko- og sårbarheitsanalysen 2022 blei publisert og presentert i eit webinar i mai 2022. Det går fram av rapporten at Finanstilsynet meiner at den norske finansielle infrastrukturen framstår som robust. Finanstilsynet vurderer sårbarheiter i føretaka sine forsvarsverk mot digital kriminalitet som den mest sentrale trusselen knytt til føretaka sin bruk av IT. Sårbarheiter knytt til IT-drift, tilgangsstyring og informasjonslekkasje er også sentrale risikoar.

Åtvaring mot å kjøpe eller eige virtuell valuta

Når ein kjøper eller eig virtuell valuta eller finansielle instrument eksponert mot slike valutaer, vil ein ikkje dra nytte av vernetiltaka som er forbunde med regulerte finansielle tenester. Finanstilsynet og andre europeiske finanstilsyn åtvara  i 2022 igjen forbrukarane/investorane mot denne risikoen.

Regelverk

Digital operasjonell motstandsdyktigheit – DORA

Som ein del av sin strategi for digital finans fastsette EU i november 2022 regelverkspakken Digital Operational Resilience Act (DORA). Regelverket trer i kraft i EU i januar 2025. Det er forventa at reglane vil bli tatt inn i EØS-avtalen.

Formålet med regelverket er å sikre digital operasjonell motstandskraft i finanssektoren. Regelverket stiller heilskaplege krav til sikkerheit for nettverk og informasjonssystem i føretak i finanssektoren og deira leverandørar. Dei europeiske finanstilsynsmyndigheitene (EBA, ESMA og EIOPA) starta i 2022 arbeidet med utfyllande reglar med mål om å ha desse klare til forordninga trer i kraft. Finanstilsynet deltar i dette arbeidet.

Marknader for kryptoverdiar – MiCA

30. juni 2022 blei EU-kommisjonen og Rådet førebels samde om eit nytt regelverk for marknader for kryptoaktiva (MiCA), som er forventa endeleg vedtatt våren 2023. Regelverket stiller krav til ei rekke nye aktørar om løyve frå nasjonale eller europeiske tilsynsmyndigheiter for å drive verksemd innan ulike virtuelle eigendelar. Slik løyve kan ein berre gi når nærmare krav er oppfylte. Dette gjeld mellom anna krav til profesjonalitet, tydeleg marknadskommunikasjon, organisering, prosedyrar for klagehandtering, reglar knytte til interessekonfliktar, melding til myndigheita ved endringar i leiinga, spesifikke krav til forvaring og sikring av klientmidlar og reglar om utkontraktering. Regelverket er antatt å tre i kraft i EU i 2025, og det er forventa at reglane vil bli tatt inn i EØS-avtalen og også gjelde i Noreg. Både EBA og ESMA arbeidde i 2022 med førebuingar til det komande regelverket. Finanstilsynet deltok i dette arbeidet.

Forvaltning

Alvorlege og kritiske IT-hendingar

Føretak som er underlagt IKT-forskrifta eller tilsvarande regelverk, skal rapportere alvorlege og kritiske operasjonelle hendingar og sikkerheitshendingar til Finanstilsynet. Talet på rapporterte sikkerheitshendingar var i 2022 på same nivå som i 2021. Det blei rapportert 284 hendingar i 2022, fordelte på 19 sikkerheitshendingar og 265 operasjonelle hendingar. Nokre av hendingane var alvorlege for føretaka som blei ramma, men ingen sikkerheitshendingar påverka den finansielle infrastrukturen eller fekk alvorlege konsekvensar for dei større finansføretaka. Finanstilsynet rapporterte om sju alvorlege hendingar til Finansdepartementet.

Sikkerheitshendingar

Dei 19 sikkerheitshendingane i 2022 var frå ulike typar finansføretak. Eitt føretak rapporterte om at sårbarheita i loggverktøyet Log4j, som blei kjent i desember 2021, var blitt utnytta til å få tilgang til ein av føretaket sine serverar som var eksponerte mot internett. Føretaket fant ingen spor av at tilgangen var utnytta før serveren blei stengt ned. Eit tenestenektangrep (DDoS-angrep) mot Nordea 1. mars 2022, som hindra tilgang til bankens tenester store delar av dagen, blei følgt nøye. Det same gjorde eit tenestenektangrep mot fleire norske verksemder, inkludert enkelte finansføretak, i perioden 29. juni – 5. juli. Angrepa fekk berre begrensa konsekvensar. Det er ofte uklart kven som står bak slike angrep.

I desember blei ein dataleverandør i Sverige ramma av ei sikkerheitshending som førte til at føretaket stengte ned nettverket i fleire dagar. Dette fekk konsekvensar for minst sju norske finansføretak, inkludert bankar, forsikringsselskap og fondsforvaltningsføretak. Eitt av desse fant spor av angrepet på eigne serverar. Fleire av dei norske føretaka blei også ramma ved at dei elektroniske systema for screening og transaksjonsovervaking blei sett ut av funksjon som følge av nedstenginga hos leverandøren.

Øvrige sikkerheitshendingar gjaldt hacking av tilsette sine e-postadresser, forfalsking av betalingsinstruksjonar og phishing-angrep mot føretaket si e-postadresse.
Finanstilsynet har dialog med Nordic Financial CERT (NFCERT) om dei fleste sikkerheitshendingane. Ved sikkerheitshendingar hos føretak som ikkje er medlem i NFCERT, tilrår Finanstilsynet føretaket å dele informasjon om sikkerheitshendingane med NFCERT.

Risikoen for sikkerheitshendingar som rammar fleire land samtidig, og som kan innebere systemrisiko for finanssektoren, blant anna grunna den geopolitiske situasjonen, har fått auka merksemd. Det europeiske systemrisikorådet (ESRB) har tilrådd dei europeiske finanstilsynsmyndigheitene å utvikle eit rammeverk for koordinert respons på slike grensekryssande sikkerheitshendingar. Rammeverket vil bli utvikla som ein del av gjennomføringa av Digital Operational Resilience Act (DORA), og arbeidet starta i slutten av 2022.

Operasjonelle hendingar

Ingen av de 265 rapporterte operasjonelle hendingane i 2022 var av særleg lang varigheit, men enkelte ramma tilgang til betalingstenester samtidig i mange bankar og Vipps i periodar på to til fem timar.

Om føremiddagen 16. mai var det problem med betaling med betalingskort i ei rekke butikkar og utsalsstader. Verken BankAxept eller internasjonale kort fungerte. Offline-reserveløysinga med signatur fungerte for brukarstader som hadde aktivert denne. Hendinga fekk mykje mediemerksemd. Årsaka til hendinga var ei nettverksendring utført i Nets. Ein del brukarstader, inkludert Vinmonopolet, hadde ikkje tatt i bruk reserveløysinga. Vidare viste det seg å vere ein teknisk feil hos ein av terminalleverandørane, noko som forsterka konsekvensane av hendinga.

I mai var det ei hending i Euronext Securities/VPS. Ein deltakar mangla tilstrekkeleg likviditet til å dekke sine forpliktingar. Ein uautorisert restart medførte feil i kalkuleringar, og ein likviditetsbank blei trekt feil beløp. Feilen fekk begrensa konsekvensar, men kunne potensielt blitt svært alvorleg.

Det blei rapportert 12 operasjonelle hendingar om avvik i føretak sine løysingar for elektronisk transaksjonsovervaking mot kvitvasking og terrorfinansiering, i tillegg til fire sikkerheitshendingar.

Ifølgje det reviderte betalingsdirektivet (PSD2) skal kontotilbydarar opne for tilgang for fullmektigar (tredjepartstilbydarar) til betalingstenestebrukaren sine kontoar når brukaren har gitt løyve til dette. DNB rapporterte i 2022 status kvar veke på problem med sitt dedikerte grensesnitt for tredjepartar sin tilgang til kundars betalingskontoar. Andre bankar rapporterer ved spesielle problem. Også tredjepartar rapporterte i 2022 hyppig om observert nedetid i bankane sitt grensesnitt for tiltrudde tredjepartar sin tilgang til kundar sine betalingskontoar.

Rapportering av hendingar fordelte på føretakstypar

• 9 hendingar frå inkassoføretak 
• 11 hendingar frå forsikringsføretak 
• 206 hendingar frå bankar 
• 12 hendingar frå betalingsføretak 
• 3 hendingar frå finansieringsføretak 
• 42 hendingar frå verdipapirområdet 
• 1 hending frå gjeldsinformasjonsføretak 

Meldepliktig ved utkontraktering

Finansføretak er, med enkelte unntak, pliktige til å melde ifrå til Finanstilsynet når dei inngår avtale om kritisk eller viktig utkontraktering av mellom anna IT-verksemd, ved endring av avtale eller ved bytte av oppdragstakar. Finanstilsynet kan med bakgrunn i føretaka si utkontraktering sette vilkår, gi pålegg om å ikkje iverksette oppdraget eller gi pålegg om å avslutte oppdraget. Dette kan Finanstilsynet gjere dersom det vurderer at utkontrakteringa ikkje kan vurderast som forsvarleg, at det vanskeleggjer tilsyn eller om det er i strid med regelverket. Finanstilsynet behandla i 2022 ca. 240 meldingar om utkontraktering av IT-leveransar, nesten 20 prosent fleire meldingar enn året før. Ein del av meldingane blei gitt frå samarbeidande grupper av bankar på vegner av fleire bankar.

Beredskapsarbeid  

Beredskapsutvalet for finansiell infrastruktur (BFI)

Finanstilsynet er leiar og sekretariat for Beredskapsutvalet for finansiell infrastruktur (BFI). BFI hadde tre ordinære møte i 2022 og tre krisemøte for oppdatering av status for beredskap og tiltak knytt til situasjonen i Ukraina. Det blei gjennomført éi beredskapsøving i BFI i 2022 i regi av Nordea Bank Abp sin filial i Noreg. Finanstilsynet og BFI deltok også i Øvelse Cyber 2022 i regi av Noregs Bank.

Sektorvist responsmiljø (SRM) 

Finanstilsynet er utpeikt som sektorvist responsmiljø (SRM) på finansmarknadsområdet i tråd med Nasjonal sikkerheitsmyndigheits (NSM) rammeverk for handtering av sikkerheitshendingar knytt til IT. Tilsynet utøver rolla i samarbeid med Nordic Financial CERT (NFCERT). Finanstilsynet og NFCERT hadde månadlege møte i 2022 som ein del av dette arbeidet. Basert på erfaringar frå hendingar i 2022 er det utarbeidd nærmare operasjonelle rutinar for samhandlinga i eit vedlegg til samarbeidsavtalen.

Samarbeid om IT-sikkerheit og den finansielle infrastrukturen  

TIBER-NO

Noregs Bank og Finanstilsynet beslutta hausten 2021 å etablere eit rammeverk for sikkerheitstesting av kritiske funksjonar i finansiell sektor i Noreg, og ei TIBER-NO-implementeringsrettleiing blei publisert på Noregs Bank og Finanstilsynet sine nettstader. Det norske rammeverket er basert på den europeiske sentralbankens TIBER-rammeverk (Threat Intelligence-based Ethical Red-Teaming). Målet er å bidra til finansiell stabilitet gjennom auka motstandsdyktigheit mot cyber-angrep mot kritiske funksjonar i norsk finanssektor. Rammeverket opnar også for testing av ikkje-kritiske funksjonar.

Noregs Bank bemanna i 2022 eit TIBER Cyber Team (TCT-NO) som har det formelle ansvaret for forvaltninga av TIBER-NO og oppfølging av føretak for gjennomføring av TIBER-NO-testing.

Noregs Bank og Finanstilsynet identifiserte i 2022 kritiske funksjonar og verksemdene som er ansvarlege for desse. Desse verksemdene og andre verksemder som viste spesiell interesse for sikkerheitstestinga, blei i andre kvartal 2022 invitert til deltaking i TIBER-NO-testing og på møteplassen TIBER-NO forum. I fjerde kvartal 2022 starta dei første føretaka opp testarbeidet.

Nasjonal sikkerheitsmyndigheit (NSM)

Finanstilsynet deltar i Nasjonalt cybersikkerheitssenter (NCSC). NCSC er ein del av NSM. NCSC gir løypande informasjon om det digitale trusselbildet og gir anbefalingar knytt til sikkerheit og andre tema som kan vere relevante i den tilsynsmessige oppfølginga av føretaka i finanssektoren.

Finanstilsynet deltar i NSMs samarbeidsforum for tilsynsmyndigheiter som fører tilsyn med IT-sikkerheit i sin sektor. Samarbeidsforumet er nyttig for å utveksle informasjon og dele erfaringar mellom tilsynsmyndigheiter om IT-risiko og -sikkerheit. Finanstilsynet presenterte i 2022 sin tilsynsmodul for kontinuitet og kontinuitetsleiing.

Noregs Bank

Finanstilsynet samarbeider med Noregs Bank om tilsyn med og overvaking av den finansielle infrastrukturen i Noreg, mellom anna gjennom utveksling av risikovurderingar og felles tilsyn. Finanstilsynets oppfølging av føretaka sine betalingstenester inngår i Noregs Banks overvaking av betalingssystemet som heilskap.

Fintech og regulatoriske sandkasser

Finanstilsynet har ein regulatorisk sandkasse for fintech-verksemder som ein del av eit breiare informasjons- og rettleiingsinitiativ. Sidan etableringa av den regulatoriske sandkassen i 2019 har Finanstilsynet tatt imot 19 søknader om opptak. Fire prosjekt er tatt opp i sandkassen, av dei er tre prosjekt avslutta. Prosjektplanar og sluttrapportar er publiserte på Finanstilsynets nettside.

Den tidlegare ordninga med puljevist opptak blei i 2022 erstatta av løpande opptak, som innebér at Finanstilsynet behandlar søknader fortløpande. Det kom tre søknader om opptak i den regulatoriske sandkassen i 2022.

Éin av søkarane, R8Me AS, blei tatt opp i den regulatoriske sandkassen 28. februar 2022, og det blei mellom anna gjennomført fire workshops med føretaket i løpet av året. Føretaket skal utvikle ei løysing for automatisert måling av berekraft. Løysinga vil vere retta mot små og mellomstore bedrifter og tar utgangspunkt i eit sett med definerte måleindikatorar. Målinga er basert på indikatorar der føretaket si berekraft blir målt i tre dimensjonar: miljømessig fotavtrykk, sosiale forhold og økonomisk berekraft. Føretaket blir målt mot gjennomsnittet i same bransje. Metoden skal i størst mogleg grad nytte tilgjengelege data frå etablerte system og register. EUs taksonomi er basis for prosjektet. Prosjektet har kome godt i gang og er planlagt sluttført i løpet av første kvartal 2023.

Finanstilsynet og Datatilsynet har samarbeidd i sandkasseprosjekt knytt til antikvitvasking og terrorfinansiering. I 2022 bidrog Finanstilsynet med å avklare lovreglar knytt til tiltak mot kvitvasking og terrorfinansiering i eit prosjekt i Datatilsynets sandkasse.

Finanstilsynet har kvartalsvise koordineringsmøte med dei regulatoriske sandkassene i Arkivverket, Digitaliseringsdirektoratet og Datatilsynet. Det blei arrangert eit felles erfaringsseminar 28. april med deltaking både frå politikarar og frå føretak som har deltatt i sandkasser.

Finanstilsynet hadde i 2022 kontakt med den norske teknologiinkubatoren Startuplab og deltok mellom anna på arrangement for fintech-føretak 11. mai. På eit møte i juni presenterte fire føretak sine forretningsidear for Finanstilsynet. Slike møte bidrar til å auke Finanstilsynets forståing av nye teknologiske løysningar i finansmarknaden.

Finanstilsynet deltok i 2022 på tre møte i European Forum for Innovation Facilitators (EFIF). EFIF er eit forum etablert av EU-kommisjonen. EUs finanstilsynsmyndigheiter (EBA, ESMA og EIOPA) organiserer forumet i fellesskap, og alle nasjonale finanstilsynsmyndigheiter i EØS-området deltar. Målet er mellom anna å utveksle erfaringar frå arbeidet med regulatoriske sandkasser og såkalte innovasjonsnav, og å bidra til felles regulatorisk behandling av innovative produkt, tenester og forretningsmodellar.